Gegensätze ziehen sich an?! Cloud und DSGVO

0
597
Wie kann sicheres Cloud Computing gelingen, das auch den Datenschutz beherzigt? Diese Frage wird in Zeiten der europäischen Datenschutzgrundverordnung (DSGVO) immer brennender – nicht zuletzt in der Verwaltung. Ein Führungskräfteforum des Behörden Spiegel wird dazu im Oktober in Berlin den Teilnehmern neue Blickwinkel eröffnen. (Foto: Geralt, pixabay.com)

Die Vorteile des Cloud Computings sind eindeutig. Große Datenmengen können günstig gespeichert, Informationen orts- und geräteunabhängig genutzt und IT-Ressourcen aller Art bedarfsgerecht und flexibel bereitgestellt werden, ohne dass damit eigene Anschaffungs- und Betriebskosten einhergehen, denn die Abrechnung erfolgt verbrauchsorientiert. Auch die Nutzung mobiler Geräte, wie Tablet-Geräte oder Smartphones, setzt sich insbesondere auf kommunaler Ebene zunehmend durch. Dieser Einsatz erfolgt häufig, ohne dass Konzepte und Regelungen für eine sichere Datenhaltung bzw. Bereitstellung von Daten entwickelt wurden bzw. nutzen die Beschäftigten private Geräte mit den darauf verfügbaren Apps bzw. Cloud-Diensten, wie Dropbox und Google Drive, zum Austausch und zur Ablage von Dateien.

Die Empirie zeigt es deutlich: Die Cloud ist im Einsatz – bewusst oder unbewusst, gesteuert oder ungesteuert, ganz einfach, weil es funktioniert. Diese neue Form der IT-Bereitstellung benötigt jedoch andere Formen der Steuerung und Absicherung für Daten, zumal die Cloud-Landschaft von internationalen Anbietern geprägt ist, deren Systeme weltweit verteilt stehen. Wenn der Dienstleister in einem Drittland sitzt, ist eine Übermittlung personenbezogener Daten nur dann zulässig, wenn ein dem in der EU herrschenden Standard vergleichbarer Datenschutz gewährleistet ist. Wichtig ist es daher für Behörden, eine (neue) Balance zwischen freiem Datenfluss und Schutz von personenbezogenen Daten und Informationen im jeweiligen nationalen Rechtsumfeld zu finden.

Sicherheit und Datenschutz

Eine der größten Herausforderungen ist u. a. die sichere und datenschutzrechtlich konforme Verarbeitung von personenbezogenen Daten in der Cloud. Denn auch in der Cloud muss der Schutz personenbezogener Daten, z. B. Name, Anschrift, Geburtsdatum, Kontaktdaten, Bankverbindung, Personenfotos oder auch Kfz-Kennzeichen sowie IP-Adressen, die erhoben, verarbeitet oder genutzt werden, gemäß den datenschutzrechtlichen Bestimmungen, d. h. der DSGVO, dem BDSG neu und ggf. der Landesdatenschutzgesetze, gewährleistet sein. Dies stellt viele öffentliche Institutionen noch vor besondere He­rausforderungen. Denn mit den Mechanismen der Cloud und den damit verbundenen Risiken sind sie häufig noch nicht so vertraut.

Bisherige Grundsätze bleiben weitgehend erhalten

Im Wesentlichen bleibt es bei den bisherigen Prinzipien: Mit Cloud-Anbietern wird über Verträge für die Auftragsverarbeitung zusammengearbeitet. Auftragsverarbeitung heißt, dass eine Behörde die Datenverarbeitung und/oder -speicherung nicht selbst durchführt, sondern sich eines Dienstleisters bedient. Handelt der Beauftragte dabei sozusagen als “verlängerter Arm”, also weisungsgebunden, dann agiert er im Auftrag der Behörde. In diesen Verträgen ist auch die Einhaltung der datenschutzrechtlichen Grundlage, ­
u. a. die Verantwortlichkeiten für die Verarbeitung personenbezogener Daten, festzulegen. Denn der Eigentümer der Daten, d. h. der Cloud-Kunde, bleibt Verantwortlicher (Art. 28 DSGVO) und muss daher sicherstellen, dass auch vom Auftragsverarbeiter dem Schutzbedarf angemessene Schutzmechanismen bereitgestellt werden. Das bedeutet, dass eine gemeinsame Verantwortung für jeden an der “Lieferkette” Beteiligten besteht (Art. 26 DSGVO), wofür neben entsprechenden vertraglichen Vereinbarungen auch entsprechende (Zusammenarbeits-)Strukturen zu schaffen sind. Dabei gilt, je höher der potenzielle Schaden durch einen Sicherheitsvorfall, desto genauer müssen in einem Vertrag die Haftung und die geschuldete Sicherheitsleistung beschrieben sein. Das bedeutet: Bedient sich der Auftragsverarbeiter seinerseits eines Subunternehmers, dann muss er diesen dazu verpflichten, sich ebenfalls an die Vorgaben der DSGVO zu halten. Falls der Subunternehmer seinen Pflichten nicht nachkommen sollte, kann der Auftragsverarbeiter im Verhältnis zum Auftraggeber (der Behörde) dafür haftbar gemacht werden.

Änderungen bei rechtskonformer Auftragsverarbeitung

Die Voraussetzungen für eine rechtskonforme Auftragsverarbeitung haben sich in der DSGVO im Vergleich zum alten Bundesdatenschutzgesetz (BDSG) etwas verändert. Auftragsverarbeiter müssen hinreichende Garantien dafür bieten, dass sie geeignete technische und organisatorische Maßnahmen (TOM) umgesetzt haben, damit die Verarbeitung von personenbezogenen Daten im Einklang mit den Anforderungen der DSGVO erfolgt und den Schutz der Rechte der Betroffenen gewährleistet. Als Nachweis der Konformität ist in der DSGVO eine datenschutzspezifische Zertifizierung vorgesehen (Art. 42 DSGVO). Zertifikate dürfen gemäß Art. 42 Abs. 5 DSGVO nur von den Aufsichtsbehörden oder akkreditierten Zertifizierungsstellen ausgestellt werden. Derzeit liegen jedoch die Kriterien für die Zertifizierung, um den Anforderungen an Compliance zu genügen, noch nicht vor. Als weitere Form der Konformitätsfeststellung dienen daher sogenannte genehmigte Verhaltensregeln (Code of Conducts) gemäß Art. 40 DSGVO, die als Indikator für die Konformität herangezogen werden können.

Solche Selbsterklärungen auf Basis von anerkannten Verhaltenskodizes, durch Protokolle, Reports und Statistiken oder interne Auditberichte, gewinnen zunehmend an Bedeutung. Dies bildet die Einstiegsstufe des Nachweises, den man häufig bei kleineren Anbietern findet, da Zertifizierungen teuer und aufwendig sind. Das ist nicht gleichbedeutend damit, dass das Sicherheitsniveau nicht ausreichend ist und sollte nicht per se Misstrauen wecken.

Dennoch sollte ein Cloud-Anwender die Aussagekraft des Nachweises einschätzen können, um zu beurteilen, ob dadurch die eigenen Sicherheitsvorgaben eingehalten werden. Dazu empfiehlt es sich, die Nachweise und Berichte genau zu prüfen. Das setzt wiederum ein gewisses Maß an Kompetenz voraus, das nicht ohne Weiteres vorhanden ist, gerade in kleinen Kommunen. Sofern man nicht auf die Kompetenz Dritter zurückgreifen kann oder möchte, ist der eigene Kompetenzaufbau unerlässlich, um fundierte Entscheidungen für oder gegen eine Cloud-Lösung zu treffen, zumal man sich der Verantwortung nach außen nicht entledigen kann.

Die entsprechende Umsetzung der Anforderungen und Pflichten der DGSVO macht den Unterschied. Soll heißen: Eine DSGVO-konforme Nutzung von Cloud ist möglich. Doch wie so oft steckt der Teufel im Detail. Um alle Anforderungen der DSGVO zu erfüllen, ist die gesamte Behörde mit ihren Datenverarbeitungsprozessen und Auftragsverarbeitern zu untersuchen.

Seminar im Oktober

Worauf es ankommt, welche Maßnahmen zu ergreifen sind und auf welche Besonderheiten bei der Cloud-Nutzung noch zu achten ist, erfahren Interessierte im Rahmen des Seminars zum Thema “Cloud und DSGVO – Gegensätze ziehen sich an?!”, welches der Behörden Spiegel in Kooperation mit eGovCD (eGovernment Consulting and Development GmbH) am 16. Oktober 2019 in Berlin durchführt.

Weitere Informationen zum Programm des Seminars “Cloud und DSGVO – Gegensätze ziehen sich an?!”, eine Anmeldemöglichkeit sowie Hinweise auf das weitere Seminarangebot stehen online unter www.fuehrungskraefte-forum.de zur Verfügung.

Kommentieren Sie den Artikel

Please enter your comment!
Please enter your name here